GDPR nõuab andmekaitsealast mõjuhinnangut igale töötlemistoimingule, mis võib põhjustada kõrge riski isikute õigustele ja vabadustele. SYAGA DPIA-Express struktureerib ja dokumenteerib teie mõjuhinnangu vastavalt artikli 35 metoodikale ja EAKN suunistele, ilma improviseerimise ja žargoonita.
Selgitada välja, kas teie töötlemistoiming vajab mõjuhinnangut, ja seejärel viia see läbi reeglipäraselt
Iga töötlemistoiming, mis võib põhjustada kõrge riski füüsiliste isikute õigustele ja vabadustele, peab enne rakendamist läbima andmekaitsealase mõjuhinnangu (GDPR, art. 35).
EAKN (endine G29, suunised WP248 rev.01) on määratlenud 9 kõrge riski kriteeriumi. Niipea kui töötlemistoiming vastab vähemalt kahele neist kriteeriumidest, tuleb põhimõtteliselt läbi viia mõjuhinnang: üks valesti tuvastatud element ja toimik on puudulik.
CNIL avaldab nimekirju töötlemistoimingutest, mille puhul mõjuhinnang on nõutav või ei ole nõutav. Teie töötlemistoimingu täpse asukoha kindlaksmääramine nõuab põhjalikku lugemist, mitte üldist muljet.
Mõjuhinnangu liiga kiire läbiviimine muudab selle järelevalveasutuse ees puudulikuks; selle läbiviimata jätmine, kui see on nõutav, seab organisatsiooni artikli 35 rikkumise ohtu. CNIL metoodika struktureerib selle valiku ja dokumenteerib selle.
GDPR artikli 35.7 poolt nõutav struktuur, rakendatud teie töötlemistoimingule, koos põhjendatud järeldusega igas etapis
Analüüs artikli 35.3 kolme juhtumi, EAKN 9 kriteeriumi maatriksi (WP248 rev.01) ja CNIL nõutavate/mittenõutavate töötlemistoimingute nimekirjade alusel. Põhjendatud järeldus, olenemata sellest, kas mõjuhinnang osutub lõpuks kohustuslikuks või mitte.
Eesmärgid, andmete ja puudutatud isikute kategooriad, vastuvõtjad, säilitamise tähtajad: artikli 35.7.a poolt nõutav täielik kaardistus, kooskõlas teie töötlemistoimingute registriga (art. 30).
Kontrollimine, kas iga kogutud andmeühik on eesmärgi saavutamiseks vajalik, kas õiguslik alus (art. 6) on iga töötlemistoimingu jaoks tuvastatud ning kas minimeerimispõhimõte (art. 5.1.c) on täidetud.
Iga tuvastatud riski kohta: raskusaste, tõenäosus, juba kehtestatud meetmed, jääkrisk, esitatud tabelina, mida teie juhtkond või andmekaitsespetsialist saab kasutada.
Kavandatud tehnilised ja korralduslikud meetmed (art. 32), põhjendatud järeldus ja vastutuse põhimõtte (art. 5.2) kohane dokumenteeritud põhjendus, mida saab kasutada CNIL kontrolli korral.
Struktureeritud, viidatud ja aus dokument selle kohta, mis jääb teie juristi või andmekaitsespetsialisti kinnitada
Täielik dokument artikli 35.7 (a-d) järgi, koos põhjendatud järeldusega.
Eelnev analüüs, mis otsustab, kas teie töötlemistoiming kuulub kohustuse kohaldamisalasse.
Mõjuhinnang tugineb samale alusele mis teie töötlemistoimingute register.
Iga ebaselge punkt on selgelt märgistatud, mitte kunagi teie eest otsustatud.
Iga õiguslik väide on viidatud, mitte mälu järgi väidetud.
Üleandmine muudetavas formaadis, mida teie andmekaitsespetsialist või jurist saab uuesti kasutada.
Metoodika, mis tugineb tekstidele ja ametiasutustele, mitte oma tõlgendustele
Andmekaitsealane mõjuhinnang. Määruse (EL) 2016/679 konsolideeritud tekst (EUR-Lex, CELEX 32016R0679).
EAKN (endine G29) 9 kõrge riski kriteeriumi, mida CNIL kasutab mõjuhinnangu kohustuse kindlakstegemise viitemetoodikana.
Nimekirjad töötlemistoimingutest, mille puhul mõjuhinnang on nõutav või ei ole nõutav, ning CNIL metoodika mõjuhinnangu läbiviimiseks.
Töötlemistoimingute register: kooskõla alus (eesmärgid, andmed, tähtajad), millele iga mõjuhinnang tugineb.
Ulatus sõltub töötlemistoimingute arvust, nende keerukusest ja sellest, mis on teil juba dokumenteeritud. Hinnapakkumine koostatakse pärast esimest vestlust.
Te ei tea, kas teie töötlemistoiming on puudutatud
Tuvastatud kõrge riskiga töötlemistoiming
Mitu kõrge riskiga töötlemistoimingut, mis vajavad katmist
Mõjuhinnang ei ole kunagi lõplik
GDPR artikkel 35.11 nõuab analüüsi ülevaatamist töötlemistoimingu olulise muutuse korral (uus volitatud töötleja, majutuse muutus, andmekogumise ulatuse laiendamine). Ülevaatuse hinnapakkumine koostatakse iga juhtumi kohta eraldi.
Kirjeldage meile oma töötlemistoimingut, me võtame teiega ühendust personaalse hinnapakkumisega.
Mida tekst tegelikult ütleb, lihtsas keeles kokku võetud. Iga punkt säilitab lingi ametlikule dokumendile.
Mõjuhinnang on lihtsalt hindamistöö: vaadatakse riske, mida andmetöötlus isikutele kaasa toob, enne selle rakendamist. CNIL defineerib seda kui „formaalset protsessi isikuandmete töötlemisega seotud riskide hindamiseks". See ei ole veel üks haldusformaalsus, vaid terve mõistuse tööriist, mille GDPR teatud juhtudel kohustuslikuks muudab. Allikas: CNIL →
Ei pea olema suur ettevõte, et olla puudutatud. CNIL leiab, et mõjuhinnang on kohustuslik niipea, kui töötlemistoiming vastab vähemalt kahele neist üheksast olukorrast: isikute hindamine või skoorimine, automatiseeritud otsuse tegemine, millel on neile reaalne mõju, süstemaatiline jälgimine, tundlike andmete (tervis, päritolu jne) kogumine, suuremahuline kogumine, mitme andmebaasi ristamine, haavatavate isikute (töötajad, patsiendid, alaealised...) sihtimine, uue tehnoloogia kasutamine või kellegi õiguse või teenuse kasutamise takistamine. Allikas: CNIL →
Et vältida oletamist, on CNIL avaldanud kaks ametlikku nimekirja: nimekirja 14 töötlemistoimingu tüübist, kus mõjuhinnang on kohustuslik (terviseandmed, personali profileerimine, töötajate jälgimine, suuremahuline asukohapõhine jälgimine...), ning nimekirja 12 tüübist, kus see ei ole nõutav (palgaarvestus ja personalihaldus alla 250 töötajaga ettevõtetes ilma profileerimiseta, tarnijate haldus, üksiku tervishoiutöötaja patsiendifail...). Need nimekirjad ei kata kõiki juhtumeid, kuid vastavad juba paljudele levinud olukordadele. Allikas: CNIL nõutavate töötlemistoimingute nimekiri →
GDPR (artikkel 35) ei nõua romaani, vaid nelja täpset osa: kirjeldada töötlemistoimingut ja selle eesmärki, kontrollida, kas see on tõesti vajalik ja proportsionaalne, hinnata puudutatud isikute riske, seejärel loetleda kavandatud meetmed nende riskide vähendamiseks. Selge järeldus lõpus: kas töötlemistoiming on vastuvõetav ja millistel tingimustel. Allikas: GDPR, artikkel 35 →
Kui teie organisatsioon on määranud andmekaitsespetsialisti, nõuab GDPR temalt nõu küsimist mõjuhinnangu läbiviimisel ja tema ülesandeks tehakse kontrollida, et analüüs on nõuetekohaselt läbi viidud. See on kaitsemehhanism, mitte linnukest tegemiseks: andmekaitsespetsialist jääb õigeks refleksiks enne järelduse kinnitamist. Allikas: GDPR, artiklid 35 ja 39 →
Kui vaatamata kavandatud meetmetele kujutab töötlemistoiming endiselt isikutele kõrget riski, nõuab GDPR CNIL-iga konsulteerimist enne alustamist. Sellel on siis kaheksa nädalat aega kirjaliku arvamuse andmiseks (pikendatav kuue nädala võrra, kui toimik on keeruline). Rahustav teadmine: see juhtum jääb erandiks, mitte reegliks. Allikas: GDPR, artikkel 36 →
CNIL tuletab meelde, et GDPR trahvid võivad ulatuda kuni 10 miljoni euroni või 2%-ni aastasest ülemaailmsest käibest, olenevalt sellest, kumb on suurem. See on seaduslik ülempiir, mitte paratamatus: hästi läbi viidud mõjuhinnang on just see, mis võimaldab kontrolli korral näidata, et küsimust on tõsiselt võetud. Allikas: CNIL →
Euroopa Andmekaitsenõukogu (EAKN/EDPB) korraldas 14. aprillist 9. juunini 2026 avaliku konsultatsiooni ühtse mõjuhinnangu mudeli eelnõu kohta, mille eesmärk on ühtlustada tavasid Euroopa riikide vahel. Konsultatsioon on nüüd suletud; me jälgime selle projekti edasist käiku, et sellest õigel ajal oma kliente teavitada. Allikas: EDPB →